信息安全等级保护商用密码测评机构审批服务指引

信息安全等级保护商用密码技术实施要求1. 引言1.1 概述信息安全的重要性日益凸显，商业密码技术作为保障信息安全的核心工具之一，其实施要求日益增多。

本文就商用密码技术实施要求进行了深入研究和总结，并提出了相应的基本原则、具体措施和方法，以期为相关领域的从业人员提供参考和指导。

1.2 文章结构本文分为五个部分，每个部分都围绕商用密码技术实施要求进行论述。

首先，在引言部分进行概述，介绍了文章的背景和意义。

接着，在第二部分中定义了商用密码技术实施要求，并强调其重要性和必要性。

第三部分阐明了商用密码技术实施要求的基本原则，包括机密性保护原则、完整性保护原则和可用性保护原则。

第四部分详细介绍了商用密码技术实施要求的具体措施和方法，涵盖了密码算法的选择与应用、密钥管理与分发控制、加密与解密操作的安全实施措施等方面。

最后，在结论部分对主要观点进行总结并展望了未来的研究方向。

1.3 目的本文旨在系统地阐述商用密码技术实施要求，并为相关领域的从业人员提供可操作性强的指导措施。

通过对商用密码技术实施要求的深入剖析，可以帮助相关领域的从业人员更好地了解和应用密码技术，以保障信息安全，并为未来的研究提供借鉴和启示。

同时，本文也可以为政府部门、企事业单位等制定信息安全策略提供参考依据，促进信息安全等级保护工作的有序发展。

2. 信息安全等级保护商用密码技术实施要求：2.1 定义密码技术实施要求：在信息系统和网络中，为了保证商用数据的机密性、完整性和可用性，需要对密码技术进行相应的实施。

密码技术实施要求指的是针对商用数据的安全保护需求，确定合适的密码技术措施和方法来满足这些需求。

2.2 重要性和必要性：商用数据的泄露、篡改或不可用可能会给企业造成严重损失，包括财务损失、声誉损害等。

因此，信息安全等级保护商用密码技术实施要求具有重要性和必要性。

2.3 相关法律法规和标准：为了确保信息安全，在国内外都有相关法律法规和标准来指导商用密码技术实施。

信息安全已经成为当今商用密码技术领域中的一个重要关键词。

随着信息技术的不断发展和商用密码技术的不断更新换代，对商用密码技术的保护和实施也提出了更高的要求。

在信息安全等级保护方面，商用密码技术的实施要求显得尤为重要。

本文将从严格的信息安全等级保护出发，探讨商用密码技术的实施要求。

一、信息安全等级保护的意义现代社会已经进入了信息化时代，各种信息已经成为了企业发展和国家安全的重要资产。

信息安全等级保护就显得尤为重要。

信息安全等级保护，可以有效地保护商用密码技术不被非法获取和篡改，确保商用密码技术的安全可靠性。

二、信息安全等级保护的需求1.保护商用密码技术的安全商用密码技术的安全性直接关系到商业机密和用户信息的安全。

而信息安全等级保护，则可以保护商用密码技术的安全，防范各种黑客攻击和网络威胁。

2.提高商用密码技术的可靠性通过信息安全等级保护，可以提高商用密码技术的可靠性，减少商用密码技术因外部攻击而带来的故障和损失，确保商用密码技术的正常运行。

三、商用密码技术实施要求1.选择合适的商用密码技术实施信息安全等级保护前，首先需要选择合适的商用密码技术。

商用密码技术应当具备良好的安全性和可靠性，能够满足企业或组织的实际需求。

2.建立完善的信息安全管理体系在商用密码技术的实施过程中，需要建立完善的信息安全管理体系。

包括完善的信息安全政策、安全管理制度和安全保密措施等，确保商用密码技术得到全面的保护。

3.进行严格的安全性评估与审核在商用密码技术实施的过程中，应当进行严格的安全性评估与审核。

对商用密码技术进行全面的安全性评估和审核，确保商用密码技术符合国家相关安全标准和法规要求。

4.加强安全教育与培训为了提高商用密码技术的安全保护水平，需要加强安全教育与培训。

定期组织相关人员进行安全知识学习和技能培训，提高其信息安全意识和技能。

5.密钥管理与安全存储在商用密码技术的实施过程中，需要加强密钥管理与安全存储措施。

对商用密码技术中的密钥进行安全管理和存储，确保密钥不被泄露和篡改。

信息安全等级保护商用密码技术要求一、引言信息安全是当今社会中极为重要的一个议题。

在一个数字化、网络化的时代，各种信息都以电子化的形式进行传输和存储，因此信息安全问题显得尤为重要。

商用密码技术作为信息安全的重要组成部分，对于保护企业和个人的重要信息具有至关重要的作用。

本文将深入探讨信息安全等级保护商用密码技术要求，以期为读者提供全面的了解和指导。

二、信息安全等级保护的意义我们需要了解信息安全等级保护的意义。

在当今高度信息化的社会环境中，各种重要的信息涉及企业的发展战略、个人的隐私数据等方面，在这样的情况下，如何更好地保护这些信息就显得尤为关键。

信息安全等级保护商用密码技术要求就是为了应对这样的需求而制定的。

三、商用密码技术要求的深度和广度商用密码技术要求的深度和广度是评估其价值的关键指标之一。

对于商用密码技术来说，其深度要求即指其技术的复杂程度和安全性能；而广度则指其在不同场景和应用中的适用范围和效果。

1. 深度要求商用密码技术在深度上要求必须具备高度的安全性能和复杂程度。

从高度的安全性能来看，商用密码技术应该能够抵御各种形式的攻击，如密码破解、中间人攻击等。

只有具备了这种高度的安全性能，商用密码技术才能够在真正的商用环境中发挥作用。

商用密码技术的复杂程度也是其深度要求的重要组成部分。

复杂的密码技术往往意味着攻击者需要花费更多的时间和精力才能够成功破解，商用密码技术在深度上的要求也体现在其复杂程度上。

2. 广度要求商用密码技术的广度要求则指其在不同场景和应用中的适用范围和效果。

从应用范围来看，商用密码技术应该能够适用于各种不同的商业场景，如金融、电子商务、医疗保健等，而不仅仅局限于某一个单一领域。

在效果上，商用密码技术应该能够在不同的应用场景中发挥良好的保护作用，不论是在数据传输、存储还是处理等方面都能够提供可靠的保护。

四、商用密码技术在信息安全等级保护中的应用商用密码技术在信息安全等级保护中具有重要的应用价值。

商用密码应用安全性评估及其相关标准作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估（以下简称：密评），是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估。

这是继网络安全等级保护（以下简称：等级保护）之后，信息安全领域又一体系化的制度，至于称为“评估”还是“测评”，并不重要，其框架大致都遵循了传统的检测认证工作，这一点也可以从相关公文1）中得到验证。

和等级保护一样，密评也有法律依据。

《中华人民共和国网络安全法》第二十一条明确指出：国家实行网络安全等级保护制度。

《中华人民共和国密码法》的第二十七条规定如下：法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的，其来源为ISO 9000标准族的框架，大致包括：要求类标准、指南类标准，如实施指南、测评（或检测、评估）等指南、机构要求（可能包括人员要求）类的认可标准。

例如，国家标准中的网络安全等级保护系列标准架构主要包括：GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。

其关系大致如图1所示。

密评标准体系的设计大致也遵循了这样的架构。

一般而言，要求类标准是其中最基础的。

GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准，其前身为GM/T 0054—2018，该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架，将信息系统密码应用自低向高划分为五个等级。

GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。

国家密码管理局关于发布《商用密码检测机构（商用密码应用安全性评估业务）目录》的公告文章属性•【制定机关】国家密码管理局•【公布日期】2024.11.11•【文号】国家密码管理局公告第49号•【施行日期】2024.11.11•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】保密正文国家密码管理局公告第49号关于发布《商用密码检测机构(商用密码应用安全性评估业务)目录》的公告依据《中华人民共和国密码法》、《商用密码管理条例》、《商用密码检测机构管理办法》,现发布《商用密码检测机构(商用密码应用安全性评估业务)目录》。

即日起,商用密码应用安全性评估试点工作正式结束,未取得商用密码检测机构(商用密码应用安全性评估业务)资质的机构不得面向社会开展商用密码应用安全性评估业务。

特此公告。

附件:商用密码检测机构(商用密码应用安全性评估业务)目录国家密码管理局2024年11月11日商用密码检测机构(商用密码应用安全性评估业务)目录(排名不分先后)北京国家金融科技认证中心有限公司北京京投信安科技发展有限公司北京全路通信信号研究设计院集团有限公司北京时代新威信息技术有限公司北京市产品质量监督检验研究院北京中科卓信软件测评技术中心北京卓识网安技术股份有限公司工业和信息化部密码应用研究中心公安部第一研究所信息安全等级保护测评中心公安部网络安全等级保护评估中心国家广播电视总局广播电视科学研究院国家信息技术安全研究中心国网计量中心有限公司商用密码检测认证中心中电信数智科技有限公司中国电子技术标准化研究院中国电子科技集团公司第十五研究所中国航天系统科学与工程研究院中国科学院软件研究所中国科学院数据与通信保护研究教育中心中国软件评测中心(工业和信息化部软件与集成电路促进中心) 中国铁道科学研究院集团有限公司中国移动通信有限公司研究院中科信息安全共性技术国家工程研究中心有限公司天津恒御科技有限公司天津鲲奥世达科技有限公司天津联信达软件技术有限公司天津市兴先道科技有限公司天津云安科技发展有限公司中互金认证有限公司河北千诚电子科技有限公司河北赛克普泰计算机咨询服务有限公司中国电子科技集团公司第五十四研究所山西晋信安科技有限公司太原清众鑫科技有限公司内蒙古万邦信息安全技术有限公司信元网络技术股份有限公司北方实验室(沈阳)股份有限公司辽宁牧龙科技有限公司沈阳赛宝科技服务有限公司长春金阳高科技有限责任公司国家网络与信息系统安全产品质量检验检测中心上海计算机软件技术开发中心上海市信息安全测评认证中心智巡密码(上海)检测技术有限公司江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心) 金盾检测技术股份有限公司南京南自数安技术有限公司苏州市软件评测中心有限公司杭州安信检测技术有限公司杭州中尔网络科技有限公司浙江辰龙检测技术有限公司浙江东安检测技术有限公司浙江省电子信息产品检验研究院浙江鑫诺检测技术有限公司安徽科测信息技术有限公司安徽信科共创信息安全测评有限公司安正网络安全技术有限公司合肥天帷信息安全技术有限公司福建金密网络安全测评技术有限公司福建智安信息技术有限公司江西神舟信息安全评估中心有限公司江西省网络安全研究院江西智慧云测安全检测中心股份有限公司高维密码测评技术(山东)有限公司山东维平信息安全测评技术有限公司山东新潮信息技术有限公司顶盛科技股份有限公司中科安永科技有限公司湖北东方网盾信息安全技术有限公司湖北星野科技发展有限公司武汉安域信息安全技术有限公司武汉等保测评有限公司湖南省金盾信息安全等级保护评估中心有限公司长沙云创信安科技有限公司鼎铉商用密码测评技术(深圳)有限公司工业和信息化部电子第五研究所广东南方信息安全研究院广东中科实数科技有限公司广州竞远安全技术股份有限公司广州市盛通建设工程质量检测有限公司深圳市博通智能技术有限公司深圳市网安计算机安全检测技术有限公司广西网信信息技术有限公司广西壮族自治区电子信息和网络安全测评研究院海南百安信息技术有限公司海南神州希望网络有限公司海南省国盾信息化发展有限公司海南正邦信息科技有限公司重庆衡鉴信息技术有限公司重庆若可网络安全测评技术有限公司重庆市信息通信咨询设计院有限公司重庆信安网络安全等级测评有限公司重庆信息通信研究院重庆巽诺科技有限公司重庆煜享星科技有限责任公司成都安美勤信息技术股份有限公司成都创信华通信息技术有限公司成都久信信息技术股份有限公司成都市信息系统与软件评测中心豪符密码检测技术(成都)有限责任公司四川省电子产品监督检验所贵州航天计量测试技术研究所云南金质信息技术服务有限公司云南云盾信息安全测评有限公司颢安检测技术(西安)有限责任公司陕西青山四纪信息技术有限公司西安安盟智能科技股份有限公司西安长盛信安信息技术有限公司甘肃安信信息安全技术有限公司青海信安正创检测技术有限公司宁夏泽新信息技术服务有限公司。

浅谈商用密码应用安全性评估 (密评)商用密码应用安全性评估，是对采用商用密码技术、产品和服务集成建设的网络和信息系统中，密码应用的合规性、正确性、有效性进行评估的过程。

密评是其简称。

密评工作在法律法规中有明确规定。

《中华人民共和国密码法》规定，要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，并且自行或者委托商用密码检测机构开展商用密码应用安全性评估。

此外，商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

为规范密评工作，XXX制定印发了《商用密码应用安全性评估管理办法（试行）》、《商用密码应用安全性测评机构管理办法（试行）》、《商用密码应用安全性测评机构能力评审实施细则（试行）》等管理文件。

其中，《商用密码应用安全性评估管理办法（试行）》规定，在重要领域网络与信息系统投入运行后，责任单位应当委托测评机构定期开展商用密码应用安全性评估。

如果评估未通过，责任单位应当限期整改并重新组织评估。

此外，关键信息基础设施、网络安全等级保护第三级及以上信息系统，每年至少评估一次，测评机构可将商用密码应用安全性评估与关键信息基础设施网络安全测评、网络安全等级保护测评同步进行。

对其他信息系统则要定期开展检查和抽查。

在参考标准方面，《中华人民共和国密码法》、《商用密码应用安全性评估管理办法（试行）》、《信息安全等级保护商用密码管理办法》都是必须遵守的参考标准。

这些标准的实施，有助于提高商用密码应用的安全性和有效性，保障关键信息基础设施的安全运行。

信息安全等级保护商用密码技术实施要求》、《信息安全等级保护商用密码技术要求》、《信息系统密码测评要求》以及GM/T0054-2018《信息系统密码应用基本要求》是商用密码领域的重要规范和标准。

XX省XX厅等级保护测评及密码评估服务需求说明一、总体要求依据国家网络安全等级保护及密码应用安全性评估相关标准及技术规范要求，结合XX省XX厅网络信息安全整体需求及各信息系统具体特点，对XX省XX厅相关信息系统开展网络安全等级保护测评及商用密码应用安全性评估，出具等级测评报告及密评报告。

二、测评范围三、依据标准网络安全等级保护测评应依据的国家及行业标准包括：1、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》2、GB/T28448-2019《信息安全技术网络安全等级保护测评要求》3、GB/T28449-2018《信息安全技术网络安全等级保护测评过程指南》4、T∕ISEΛΛ001-2023《信网络安全等级保护测评高风险判定指引》密码应用安全性评估应依据的国家及行业标准包括：1、GB/T39786-2023《信息安全技术信息系统密码应用基本要求》2、GM/T0115—2023《信息系统密码应用测评要求》3、GM/T0116-2023《信息系统密码应用测评过程指南》4、《信息系统密码应用高风险判定指引》5、《商用密码应用安全性评估量化评估规则》四、网络安全等级保护测评4.1测评内容本次等级保护测评内容应覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10个层面，具体包括：1）安全物理环境测评内容应包括：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

2）安全通信网络测评内容应包括：网络架构、通信传输、可信验证。

3）安全区域边界测评内容应包括：边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证。

4）安全计算环境测评内容应包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。

《信息安全等级保护商用密码技术要求》使用指南《<信息安全等级保护商用密码技术要求>使用指南》编写组目录一、引言 (5)二、密码框架保护 (9)1、信息系统密码保护框架 (9)2、密码保护技术体系 (10)2.1、密码基础设施 (13)2.2、密码设备 (13)2.3、密码服务 (13)2.4、密码技术支撑的安全服务 (14)三、密码保护实施要求 (16)1、集成单位选择 (16)2、方案设计、产品选型与集成实施 (16)2.1商用密码系统建设方案的设计 (16)2.2产品选用 (17)2.3商用密码系统建设方案的实施 (17)3、系统安全测评 (17)4、日常维护与管理 (19)5、安全监督检查 (19)附录一：第一级信息系统密码保护 (20)1、第一级基本技术要求中的密码技术应用需求分析 (20)1.1物理安全 (20)1.2网络安全 (20)1.3主机安全 (21)1.4应用安全 (21)1.5数据安全及备份恢复 (22)1.6总结 (22)2、密码通用技术要求 (23)2.1功能要求 (23)2.2密钥管理要求 (23)2.4密码实现机制 (24)2.5密码安全防护要求 (24)3、典型示例 (24)3.1信息系统概述 (24)3.2密码保护需求 (24)3.3密码保护系统设计 (24)3.4密码保护系统部署 (25)附录二：第二级信息系统密码保护 (27)1、第二级基本技术要求中的密码技术应用需求分析 (27)1.1物理安全 (27)1.2网络安全 (27)1.3主机安全 (28)1.4应用安全 (29)1.5数据安全及备份恢复 (30)1.6总结 (31)2、密码通用技术要求 (31)2.1功能要求 (31)2.2密钥管理要求 (32)2.3密码配用策略要求 (33)2.4密码实现机制 (33)2.5密码安全防护要求 (33)3、典型示例 (34)3.1信息系统概述 (34)3.2密码保护需求 (34)3.3密码保护系统设计 (34)3.4密码保护系统部署 (36)附录三：第三级信息系统密码保护 (37)1、第三级基本技术要求中的密码技术应用需求分析 (37)1.1物理安全 (37)1.3主机安全 (39)1.4应用安全 (40)1.5数据安全及备份恢复 (42)1.6总结 (43)2、密码通用技术要求 (43)2.1功能要求 (43)2.2密钥管理要求 (45)2.3密码配用策略要求 (46)2.4密码实现机制 (47)2.5密码安全防护要求 (47)3、典型示例 (48)3.1信息系统概述 (48)3.2密码保护需求 (48)3.3密码保护系统设计 (50)3.4密码保护系统部署 (51)附录四：第四级信息系统密码保护 (54)1、第四级基本技术要求中的密码技术应用需求分析 (54)1.1物理安全 (54)1.2网络安全 (54)1.3主机安全 (56)1.4应用安全 (58)1.5数据安全及备份恢复 (60)1.6总结 (61)2、密码通用技术要求 (62)2.1功能要求 (62)2.2密钥管理要求 (64)2.3密码配用策略要求 (66)2.4密码实现机制 (66)2.5密码安全防护要求 (66)3.1防伪税控系统概述 (67)3.2密码保护需求 (68)3.3密码保护系统设计 (70)3.4密码保护系统部署 (72)附录五：第一至四级基本技术要求中的密码技术应用需求汇总 (74)一、引言信息安全等级保护制度是国家信息安全保障工作的基本制度。

商用密码检测机构管理办法（征求意见稿）第一条为了加强商用密码检测机构管理，规范商用密码检测活动，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。

第二条商用密码检测机构的资质认定和监督管理适用本办法。

第三条从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经国家密码管理局认定,依法取得商用密码检测机构资质。

第四条国家密码管理局负责全国商用密码检测机构的资质认定和监督管理。

县级以上地方各级密码管理部门负责本行政区域内商用密码检测机构的监督管理。

第五条商用密码检测机构应当在资质认定业务范围内从事商用密码检测活动。

国家密码管理局制定并公布商用密码检测机构资质认定基本规范和商用密码检测业务范围目录。

第六条申请商用密码检测机构资质应当符合下列条件：（一）具有法人资格;（二）具有与从事商用密码检测活动相适应的资金条件;（S）成立2年以上，从事网络安全检测评估领域相关工作1年以上，无重大违法或者不良信用记录；（四）申请人及其关联方不从事商用密码产品（检测工具类除外）生产、销售以及信息系统或者商用密码保障系统集成、信息系统或者商用密码保障系统运营、电子认证服务、电子政务电子认证服务或者其他可能影响公平公正性的活动；（五）具有与从事商用密码检测活动相适应的工作环境;（六）具有与从事商用密码检测活动相适应的商用密码检测设备设施；（七）具有保证商用密码检测活动独立、公正、科学、诚信的管理体系；（A）具有与从事商用密码检测活动相适应的专业技术人员和管理人员；（九）具有与从事商用密码检测活动相适应的专业能力。

外商投资法人申请商用密码检测机构资质，除符合上述条件外，还应当符合我国外商投资有关法律法规的规定。

第七条申请商用密码检测机构资质，应当向国家密码管理局提出书面申请，向国家密码管理局委托进行受理的省、自治区、直辖市密码管理部门提交《商用密码检测机构资质申请表》及以下证明材料，并对其真实性负责。

《信息安全等级保护商用密码技术要求》使用指南《信息安全等级保护商用密码技术要求》使用指南《<信息安全等级保护商用密码技术要求>使用指南》编写组目录一、引言 (6)二、密码框架保护 (10)1、信息系统密码保护框架 (10)2、密码保护技术体系 (11)2.1、密码基础设施 (14)2.2、密码设备 (14)2.3、密码服务 (14)2.4、密码技术支撑的安全服务 (15)三、密码保护实施要求 (17)1、集成单位选择 (17)2、方案设计、产品选型与集成实施 (17)2.1商用密码系统建设方案的设计 (17)2.2产品选用 (18)2.3商用密码系统建设方案的实施 (18)3、系统安全测评 (19)4、日常维护与管理 (21)5、安全监督检查 (21)附录一：第一级信息系统密码保护 (22)1、第一级基本技术要求中的密码技术应用需求分析 (22)1.1物理安全 (22)1.2网络安全 (22)1.3主机安全 (23)1.4应用安全 (23)1.5数据安全及备份恢复 (24)1.6总结 (24)2、密码通用技术要求 (25)2.1功能要求 (25)2.2密钥管理要求 (25)2.3密码配用策略要求 (26)2.4密码实现机制 (26)2.5密码安全防护要求 (26)3、典型示例 (26)3.1信息系统概述 (26)3.2密码保护需求 (26)3.3密码保护系统设计 (27)3.4密码保护系统部署 (27)附录二：第二级信息系统密码保护 (29)1、第二级基本技术要求中的密码技术应用需求分析 (29)1.1物理安全 (29)1.2网络安全 (29)1.3主机安全 (30)1.4应用安全 (31)1.5数据安全及备份恢复 (32)1.6总结 (33)2、密码通用技术要求 (33)2.1功能要求 (33)2.2密钥管理要求 (34)2.3密码配用策略要求 (35)2.4密码实现机制 (35)2.5密码安全防护要求 (36)3、典型示例 (36)3.1信息系统概述 (36)3.2密码保护需求 (36)3.3密码保护系统设计 (37)3.4密码保护系统部署 (38)附录三：第三级信息系统密码保护 (39)1、第三级基本技术要求中的密码技术应用需求分析 (39)1.1物理安全 (39)1.2网络安全 (40)1.3主机安全 (41)1.4应用安全 (43)1.5数据安全及备份恢复 (44)1.6总结 (45)2、密码通用技术要求 (46)2.1功能要求 (46)2.2密钥管理要求 (48)2.3密码配用策略要求 (49)2.4密码实现机制 (50)2.5密码安全防护要求 (50)3、典型示例 (51)3.1信息系统概述 (51)3.2密码保护需求 (51)3.3密码保护系统设计 (53)3.4密码保护系统部署 (54)附录四：第四级信息系统密码保护 (57)1、第四级基本技术要求中的密码技术应用需求分析 (57)1.1物理安全 (57)1.2网络安全 (57)1.3主机安全 (59)1.4应用安全 (61)1.5数据安全及备份恢复 (63)1.6总结 (64)2、密码通用技术要求 (65)2.1功能要求 (65)2.2密钥管理要求 (67)2.3密码配用策略要求 (69)2.4密码实现机制 (70)2.5密码安全防护要求 (70)3、典型示例 (70)3.1防伪税控系统概述 (70)3.2密码保护需求 (71)3.3密码保护系统设计 (73)3.4密码保护系统部署 (75)附录五：第一至四级基本技术要求中的密码技术应用需求汇总 (77)一、引言信息安全等级保护制度是国家信息安全保障工作的基本制度。

项目编号:04025工业和信息化部电子认证服务行政审批事项服务指南工业和信息化部信息化和软件服务业司一、适用范围本服务指南规定了电子认证服务行政许可的申请和办理要求，从而便于行政相对人提前了解行政许可事项的办理流程、法定办结时限和所需的申请材料等。

本服务指南适用于电子认证服务行政许可对象和工作人员参考。

电子认证服务行政许可的对象为申请从事电子认证服务的机构。

二、事项审查类型电子认证服务行政许可审批事项为前审后批型。

三、审批依据《电子签名法》第十八条“从事电子认证服务，应当向国务院信息产业主管部门提出申请，并提交符合本法第十七条规定条件的相关材料。

国务院信息产业主管部门接到申请后经依法审查，征求国务院商务主管部门等有关部门的意见后，自接到申请之日起四十五日内作出许可或者不予许可的决定。

予以许可的，颁发电子认证许可证书；不予许可的，应当书面通知申请人并告知理由.”四、实施机构受理机构：信息化和软件服务业司决定机构：工业和信息化部五、数量限制无数量限制。

六、申请条件申请方必须具备以下所有条件，任何一条不符合则不予以许可:（一)具有独立的企业法人资格。

(二）具有与提供电子认证服务相适应的人员。

从事电子认证服务的专业技术人员、运营管理人员、安全管理人员和客户服务人员不少于三十名，并且应当符合相应岗位技能要求。

(三）注册资本不低于人民币三千万元。

（四）具有固定的经营场所和满足电子认证服务要求的物理环境.(五）具有符合国家有关安全标准的技术和设备。

（六）具有国家密码管理机构同意使用密码的证明文件.（七）法律、行政法规规定的其他条件。

七、禁止性要求无八、申请材料目录（一）电子认证服务行政许可申请表；（二）企业法人资格证明（企业法人营业执照副本复印件)；(三）人员证明（企业的专业技术人员、运营管理人员、安全管理人员和客户管理人员聘用合同复印件、社保缴纳证明）;（四)经营场所证明（经营场所产权证明文件复印件或有效的房屋租赁协议复印件）；(五)国家有关认证检测机构出具的技术、设备、物理环境符合国家有关安全标准的凭证：1.有关安全设备和认证系统在有效期内的经主管部门或国家认可的检测机构出具的安全认证和准予销售凭证复印件(包括电子认证服务系统、密钥管理系统、防火墙、入侵检测、密码机、安全网关、密码钥匙、杀毒软件、网络漏洞扫描系统等)；2.电子认证系统技术体系审查报告的复印件；3。

信息安全等级保护商用密码管理办法实施意办法精品管理制度、管理方案、合同、协议、一起学习进步企业管理，管理制度，报告，协议，合同，标书国家密码管理局文件国密局发[2009]10号关于印发《<信息安全等级保护商用密码管理办法>实施意见》的通知各省、自治区、直辖市密码管理局，新疆生产建设兵团密码管理局，深圳市密码管理局：为配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施，进一步规范信息安全等级保护商用密码管理工作，我局研究制定了《<信息安全等级保护商用密码管理办法>实施意见》。

现印发你们，请认真贯彻执行。

执行中的意见和建议，请及时向我局反馈(联系电话：010-********) 。

2009年12月15日主题词：商用密码等级保护实施意见通知抄送：公安部十一局、工业和信息化部信息安全协调司、国家保密局中央和国家机关各部委，国务院各直属机构。

国家密码管理局办公室 2009年lo月29日印发(共印l000份)d2企业管理，管理制度，报告，协议，合同，标书《信息安全等级保护商用密码管理办法》实施意见为了配合《信息安全等级保护商用密码管理办法》(国密局发[2007]11号) 的实施，进一步规范信息安全等级保护商用密码管理工作，特提出以下意见。

一、使用商用密码对信息系统进行密码保护，应当严格遵守国家商用密码相关政策和标准规范。

二、在实施信息安全等级保护的信息系统中，商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的，实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。

三、商用密码应用系统的建设应当选择具有商用密码相关资质的单位。

四、使用商用密码开展信息安全等级保护应当制定商用密码应用系统建设方案。

方案应当包括信息系统概述、安全风险与需求分析、商用密码应用方案、商用密码产品清单、商用密码应用系统的安全管理与维护策略、实施计划等内容。

五、第三级以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施。

信息安全等级保护制度的主要内容目录一、内容概要 (3)1.1 制定背景与目的 (3)1.2 信息安全等级保护制度的意义 (4)二、信息安全等级保护制度的基本概念 (5)2.1 信息安全等级保护的定义 (7)2.2 信息安全等级保护制度的结构 (8)三、信息安全等级保护制度的主要内容 (9)3.1 第一级信息系统的安全保护 (10)3.1.1 安全物理环境 (12)3.1.2 安全通信网络 (13)3.1.3 安全区域边界 (14)3.1.4 安全计算环境 (15)3.1.5 安全建设管理 (16)3.1.6 安全运维管理 (17)3.2 第二级信息系统的安全保护 (18)3.2.1 安全物理环境 (20)3.2.2 安全通信网络 (21)3.2.3 安全区域边界 (22)3.2.4 安全计算环境 (23)3.2.5 安全建设管理 (25)3.2.6 安全运维管理 (26)3.3 第三级信息系统的安全保护 (27)3.3.1 安全物理环境 (28)3.3.2 安全通信网络 (29)3.3.3 安全区域边界 (30)3.3.4 安全计算环境 (31)3.3.5 安全建设管理 (32)3.3.6 安全运维管理 (33)3.4 第四级信息系统的安全保护 (34)3.4.1 安全物理环境 (36)3.4.2 安全通信网络 (37)3.4.3 安全区域边界 (38)3.4.4 安全计算环境 (39)3.4.5 安全建设管理 (41)3.4.6 安全运维管理 (42)四、信息安全等级保护制度的实施与管理 (43)4.1 实施原则与方法 (44)4.2 信息系统定级与备案 (45)4.3 安全建设与改造 (47)4.4 运维管理与安全检查 (48)五、信息安全等级保护制度的评估与升级 (49)5.1 评估流程与方法 (50)5.2 评估结果与应用 (52)5.3 升级与改造策略 (53)六、信息安全等级保护制度的法律法规与政策支持 (54)6.1 相关法律法规概述 (55)6.2 政策支持与引导 (56)七、结论与展望 (58)7.1 主要成果与贡献 (59)7.2 发展趋势与挑战 (60)一、内容概要信息安全等级保护制度是我国针对信息安全领域的一项基本国策，旨在保障国家关键信息基础设施和重要信息系统的安全稳定运行。

关于同意开展商用密码应用测评试点工作的告知书告知书一：关于同意开展商用密码应用测评试点工作的告知书致：[申请单位名称]主题：关于同意贵单位开展商用密码应用测评试点工作的正式告知尊敬的[申请单位名称]负责人：您好！根据《中华人民共和国密码法》及国家密码管理局关于商用密码应用安全性评估的相关政策要求，贵单位提交的《商用密码应用测评试点工作申请书》及相关材料已经过我局（或指定评估机构）的严格审查与评估。

经过综合考量贵单位在商用密码技术研发、应用推广及安全管理等方面的综合实力与前期准备情况，我们非常高兴地通知您，贵单位已正式获得批准，同意开展商用密码应用测评试点工作。

一、试点目的与意义本次商用密码应用测评试点工作的主要目的是探索和完善商用密码应用安全性评估机制，验证商用密码产品在重要信息系统和关键信息基础设施中的有效性和安全性，提升我国商用密码产业的整体竞争力和安全保障水平。

贵单位的参与，将对推动商用密码技术的广泛应用和规范化管理起到积极的示范和引领作用。

二、试点范围与内容试点范围：本次试点将覆盖贵单位自主研发或集成的商用密码产品，在特定行业或领域的重要信息系统中的应用情况。

具体范围将依据贵单位提交的申请方案及后续协商确定。

试点内容：包括但不限于商用密码产品的功能符合性测试、性能评估、安全性分析、兼容性验证以及在实际应用环境中的表现评估等。

同时，还将对贵单位在商用密码应用过程中的安全管理措施、应急预案、人员培训等方面进行综合评价。

三、工作要求组建专项团队：贵单位需成立商用密码应用测评试点工作专项小组，明确职责分工，确保试点工作有序进行。

制定详细计划：根据本告知书要求，结合实际情况，制定详细的试点工作计划，明确时间节点、任务分工及预期成果。

加强沟通协调：在试点过程中，贵单位需与我局（或指定评估机构）保持密切沟通，及时反馈工作进展及遇到的问题，确保试点工作顺利进行。

确保数据安全：在试点过程中，应严格遵守国家关于数据安全和隐私保护的相关法律法规，确保测试数据的安全性和保密性。

密评是什么什么是商⽤密码应⽤安全性评估（以下简称“密评”）密评是指在采⽤商⽤密码技术、产品和服务集成建设的⽹络和信息系统中，对其密码应⽤的合规性、正确性和有效性进⾏评估的活动。

密评是对密码应⽤安全的评估，⽴⾜系统安全、体系安全和动态安全，对包括密码算法、密码协议和密码设备等进⾏整体安全性评估。

密码应⽤正确、合规、有效，是⽹络和信息系统安全的关键所在，因此密评要做到合规、正确和有效。

开展密评，对于规范密码应⽤，切实保障⽹络安全，具有不可替代的重要作⽤。

开展密评，是适应改⾰要求，提升商⽤密码科学化、规范化管理⽔平的关键举措。

通过开展密评，能够更好发挥密码在保障⽹络和信息系统安全中的核⼼⽀撑作⽤。

通过开展密评，确保新技术、新应⽤的密码安全，是推动科技创新的有⼒⽀撑。

什么是0054我们通常说的0054是国密标准《GM/T 0054-2018 信息系统密码应⽤基本要求》的标准发布顺序号，该标准由国家密码管理局于2018年2⽉8⽇发布并实施。

0054标准中主要包括总体要求、密码功能要求、密码技术应⽤要求、密钥管理和安全管理。

其中总体要求包括：密码算法、密码技术、密码产品和密码服务；密码功能要求包括：机密性、完整性、真实性和不可否认性；密码技术应⽤要求包括物理和环境安全、⽹络和通信安全、设备和计算安全、应⽤和数据安全；密钥管理包括密钥的⽣成、存储、分发、导⼊、导出、使⽤、备份、恢复、归档与销毁等环节进⾏管理和策略制定的全过程；安全管理包括制度、⼈员、实施和应⽤。

其中，密码技术应⽤要求、密钥管理和安全管理针对等级保护不同级别的信息系统分别有不同的要求。

密评与0054密评主要按照《GM/T 0054-2018信息系统密码应⽤基本要求》等标准，对信息系统的规划、建设、运⾏三个阶段的密码应⽤情况进⾏安全性评估。

信息系统规划阶段：组织专家或者委托具有相关资质的测评机构评估密码应⽤是否是依据商⽤密码技术标准，制定的商⽤密码应⽤建设⽅案。

信息安全等级保护商用密码测评机构审批服务指南一、适用范围本指南适用于信息安全等级保护商用密码测评机构审批的申请和办理。

二、项目信息项目名称：信息安全等级保护商用密码测评机构审批子项名称：无审批类别：非行政许可审批（正在履行新设行政许可程序）项目编号：60012三、办理依据《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第九条：“计算机信息系统实行安全等级保护。

安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。

”《信息安全等级保护管理办法》（公通字〔2007〕43号）第一条：“为规范信息安全等级保护管理，提高信息安全保障能力和水平，维护国家安全、社会稳定和公共利益，保障和促进信息化建设，根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规，制定本办法。

”第三十八条：“信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。

”《信息安全等级保护商用密码管理办法》（国密局发〔2007〕11号）第十一条：“信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。

”四、受理机构国家密码管理局五、决定机构国家密码管理局六、审批数量无数量限制七、办事条件申请人应当具备以下条件：1.独立法人资格的企事业单位；2.产权关系明晰，资产总值不低于1000万元；3.具备信息安全系统测评相关经验，具有密码相关工作经验的专业技术人员，人数不少于30人；4.具备必要的系统测评环境、设备和设施；5.具有完备的系统测评质量管理、安全保密管理和人员管理等规章制度；6.申请单位的法人性质、产权构成以及组织结构能够保证其公正、独立地实施系统测评活动，不从事密码产品生产、销售等业务；7.国家密码管理局要求的其他条件。

八、申请材料（一）申请材料清单序号提交材料名称原件/复印件份数纸质/电子要求信息安全等级保护商用密1原件1码测评机构申请表本机构主要管理和技术人2原件1员登记表纸质3独立法人证明材料复印件 1纸质和PDF加盖从事信息安全系统测评工电子扫描文4复印件1单位作情况的材料件印章从事信息安全等级保护商5复印件 1用密码测评所需专用检测设施、设备清单6相关管理规章制度文本复印件1（二）申请材料提交申请人通过国家密码管理局受理窗口或邮寄方式提交申请材料。